最近は、企業のセキュリティに関する意識が高まり、管理系の通信はなるべく暗号化するよになっていますよね。

例えば、ネットワーク機器ならtelnetではなくsshとか。Linuxサーバもsshで接続。ほかにもWEB系の管理画面もHTTPではなくHTTPSとかになっています。

この辺りは当たり前になってくる気がしますが、WEBサイトもだんだんとHTTPS化が進んでいますよね。

では、Windowsサーバーに接続する場合に使用するRDPは暗号化されているのでしょうか。これ気になる方多いですよね。そこで、マイクロソフトの情報を見えると、リモートデスクトップの通信は暗号化されているそうで、SSL、TLS認証が使われているとのこと。

■サーバー認証と暗号化レベルを構成する
https://technet.microsoft.com/ja-jp/library/cc770833(v=ws.11).aspx

適用対象: Windows Server 2008 R2

 

既定では、リモート デスクトップ サービス セッションは、クライアントの暗号化レベルを RD セッション ホスト サーバーにネゴシエイトするように構成されています。

トランスポート層セキュリティ (TLS) 1.0 の使用を要求することで、リモート デスクトップ サービス セッションのセキュリティを強化できます。

TLS 1.0 は RD セッション ホスト サーバーの ID を確認して、RD セッション ホスト サーバーとクライアント コンピューター間のすべての通信を暗号化します。セキュリティを高めるために、RD セッション ホスト サーバーとクライアント コンピューターは、TLS 用に正しく構成する必要があります。

 

 

そして、3 つのセキュリティ層を使用できるそうです。

●SSL (TLS 1.0)
SSL (TLS 1.0) は、サーバー認証と、サーバーとクライアントの間で転送されるすべてのデータの暗号化に使用されます。

●ネゴシエート
※これは、既定の設定です。
クライアントがサポートしている最も安全な層が使用されます。サポートされている場合は SSL (TLS 1.0) が使用されます。クライアントが SSL (TLS 1.0) をサポートしていない場合は、RDP セキュリティ層が使用されます。

●RDP セキュリティ層
サーバーとクライアント間の通信では、ネイティブな RDP 暗号化が使用されます。RDP セキュリティ層を選択した場合、ネットワーク レベル認証は使用できません。

RDP セキュリティ層ってなんでしょうね。暗号化レベルが低いように見えますが、できればSSL(TLS1.0)を使うようにしたほうがいいということになるでしょう。

続いて、暗号化レベルが4つ。

●FIPS 準拠
このレベルでは、連邦情報処理規格 (FIPS) 140-1 で確認された暗号化方式を使用して、クライアントとサーバーの間でやり取りされるデータの暗号化と暗号化の解除を行います。このレベルの暗号化をサポートしていないクライアントは接続できません。

●高
このレベルでは、128 ビットの暗号化を使用して、クライアントとサーバーの間でやり取りされるデータの暗号化を行います。このレベルの暗号化は、128 ビットのクライアント (リモート デスクトップ接続クライアントなど) のみが含まれる環境で RD セッション ホスト サーバーが動作している場合に使用します。このレベルの暗号化をサポートしていないクライアントは接続できません。

●クライアント互換
※これは、既定の設定です。
このレベルでは、クライアントとサーバーの間で送信されるデータは、クライアントがサポートしている最高のキーの強度で暗号化されます。このレベルの暗号化は、クライアントが混在している場合や、古いクライアントが含まれる環境で RD セッション ホスト サーバーが動作している場合に使用します。

●低
このレベルでは、56 ビットの暗号化を使用して、クライアントからサーバーに送信されるデータの暗号化を行います。サーバーからクライアントに送信されるデータは暗号化されません。

暗号化はされているということで、厳しくするならサイトに書かれているグループポリシーの設定で、制限をするかどうかくらいですね。